l'infrastructure en réseau135
». Les PETs permettent une garantie technique de ces principes. Des
initiatives existent et portent leurs fruits136. La Commission
européenne rappelle qu'il est essentiel de trouver un équilibre
entre les attentes légitimes de protection de la vie privée et le
paysage scientifique de l'intelligence artificielle, d'autant plus que le RGPD
ne prévoit pas d'outils et de normes techniques137.
Par ailleurs, ces techniques ne portent pas atteinte à
l'innovation138. Pour le Contrôleur Européen de
Protection des Données139, ce cadre réglementaire de
protection des données n'est pas un frein à l'innovation, mais un
vecteur essentiel du développement d'une technologie d'intelligence
artificielle durable. Face à cette innovation perpétuelle de la
technologie, la réflexion éthique est nécessaire pour
trouver un équilibre entre la « liberté de droit
» et la « liberté de fait », avant
même d'élaborer une régulation140. Dès
lors, malgré l'effet de mode de ces concepts141 et pour
paraphraser le Contrôleur Européen de Protection des
Données, all we need is privacy by design and privacy by
default142.
Il convient donc, dans un premier temps d'analyser
l'application théorique du privacy by design et du privacy
by default dans le cadre d'un traitement effectué par un logiciel
d'intelligence artificielle et des questions sous-jacentes
(Première partie), pour dans un second temps, proposer
un cadre d'application pratique, respectueux des données à
caractère personnel (Seconde partie).
135A. Cavoukian, D stewart, B. Dewitt, «
Gagner sur tous les tableaux Protéger la vie privée à
l'ère de l'analytique » Deloitte Canada, 2014, p.1
136 F. Baudot, « Un service de localisation
décentralisé et privacy by design entre appareils »,
LINC, 24 octobre 2019
137 Commission Européenne, « Une stratégie
européenne pour la donnée », 19 février 2020, p.
12
138 A. Cavoukian, D stewart, B. Dewitt, Gagner sur tous les
tableaux, op. cit.
139 EDPS, «Press Statement - Data Protection and
Competitiveness in the Digital Age», 10 juillet 2019
140 LINC, «Éric Fourneret : « Le
numérique appelle la pensée », 3 avril 2020
141 A. E. Waldman, «Privacy's Law of Design», UC Irvine
Law Review, 8 octobre 2018, p.63
142 EDPS, «Speech on «All we need is L....Privacy
by design and by default», 29 mars 2017
- 22 -
PREMIERE PARTIE
La mise en oeuvre du privacy by design et du
privacy by default dans le cadre d'un traitement réalisé par
un logiciel d'intelligence artificielle se heurte aux principes
intrinsèques de la protection des données personnelles
consacrés par le RGPD. Le Règlement étant
technologiquement neutre, il n'a pas pu prévoir des solutions à
des questions techniques. Il convient donc de dépasser cette
contradiction en adaptant ces principes à des objectifs
réalisables par l'intelligence artificielle par le biais de la norme
éthique. En étant réellement effective, la norme
éthique pourra guider le responsable du traitement dans la conception
et/ ou l'utilisation de l'intelligence artificielle (Titre 1).
La réflexion en amont du traitement se voit
également bouleversée et amène à une adaptation
spécifique aux problématiques de l'intelligence artificielle.
Conformément au principe d'autorégulation, le responsable du
traitement est tenu d'un devoir de responsabilisation à l'égard
du traitement qu'il effectue. Le privacy by design et le privacy
by default imposent à cet effet de mettre en oeuvre des mesures
techniques et organisationnelles adaptées. Ce dernier devra alors
mesurer le risque adéquat du traitement et mettre en oeuvre des outils
adaptés pour y pallier. Il s'avère ainsi nécessaire de
faire évoluer la notion de risque en prenant en compte les
spécificités techniques de l'intelligence artificielle (Titre
2).
- 23 -
Titre 1 : L'application des principes de protection des
données à caractère personnel à l'intelligence
artificielle
Le RGPD s'applique à tout traitement de données
à caractère personnel, y compris les traitements
automatisés (art. 2. 1 RGPD). Par conséquent, dès lors
qu'un logiciel d'intelligence artificielle utilise comme entrée des
données à caractère personnel, les dispositions du
Règlement s'appliquent. Néanmoins, les spécificités
techniques de cette technologie défient les principes constituant
l'essence même du texte (Chapitre 1). Respecter l'objectif de protection
des données personnelles amène aussi à envisager des
principes spécifiques à ce régime (Chapitre 2).